AI-programmeringsværktøj fra Github lækker gyldige api-nøgler
Github er på vej med et kodeværktøj, der ved hjælp af kunstig intelligens kan skrive programkode, indtil videre i en beta-version.
Værktøjet, der hedder Copilot, skal assistere udvikleren med at skrive koden hurtigere og med mindre arbejdsindsats. Copilot er tilgængelig i en lukket udgave, som en udvidelse til Visual Studio Code.
Algoritmen bag udtrækker sammenhængen fra kommentarer og kode og foreslår individuelle linjer og hele funktioner med det samme. Bag værktøjet ligger Openai Codex, der er et nyt AI-system fra firmaet Openai, som står bag den gigantiske sprogmodel GPT-3.
Men det datasæt, som algoritmen er trænet på, har tilsyneladende indeholdt gyldige nøgler til forskellige tjenesters api'er.
Ifølge mediet Fossbytes er det i hvert fald lykkedes udvikleren med profilnavnet Dtjm at få Copilot til at lække gyldige api-nøgler til email-tjenesten Sendgrid.
Et skærmskud af Dtjm's fejlrapport har tidligere været vist på Twitter, men er blevet slettet igen. Skærmskuddet kan dog findes på arkiv-tjenesten Archive.org. De følsomme oplysninger er sløret på skærmskuddet.
Github har erkendt problemet, og firmaets udviklere arbejder på en løsning.
Det er et almindelig kendt problem i kunstig intelligens, at systemer så at sige kan huske de data, de har set i træningen, og kan lokkes til at gengive disse data. Det er især et problem med personfølsomme og sikkerhedsfølsomme oplysninger, som ikke er blevet sløret i træningssættet.
Det er ikke det eneste problem, som Github Copilot står med. Ifølge Fossbytes har flere etablerede open source-udviklere forladt kodetjenesten, på grund af hvad de ser som uretmæssig anvendelse af open source-kode på Github.
En udvikler udtaler:
»Jeg er uenig i Githubs uautoriserede og ulicenserede brug af ophavsretligt beskyttet kildekode som træningsdata til deres ML-drevne Github Copilot AI. Dette produkt injicerer kildekode, der stammer fra ophavsretligt beskyttede kilder, i deres kunders software uden at informere om licensen til kildekoden. Dette letter uautoriseret og ulicenseret brug af copyrightindehavers arbejde i betydelig grad.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
